BAB 4 AUDIT SISTEM INFORMASI PENGGAJIAN. menjalankan kegiatan audit. Penggunaan suatu sistem informasi untuk pengolahan data

BAB 4 AUDIT SISTEM INFORMASI PENGGAJIAN

Pengendalian terhadap sistem informasi yang ada sangat penting dalam menjalankan kegiatan audit. Penggunaan suatu sistem informasi untuk pengolahan data yang tidak terkontrol akan menimbulkan resiko yang berdampak luas bagi perusahaan. Dengan melakukan proses audit dapat ditemukan kelemahan-kelemahan dari sistem atau penyelewengan yang terjadi sehingga dapat memberikan suatu rekomendasi perbaikan bagi perusahaan dalam menjalankan kegiatan di masa mendatang. Pada bab ini akan dijelaskan mengenai pelaksanaan audit terhadap sistem informasi penggajian. Bukti-bukti diperoleh dari dokumentasi, wawancara dengan karyawan serta pengamatan secara langsung di PT. AQUARIUS MUSIKINDO.

4.1 Perencanaan Audit Dengan perencanaan audit, maka auditor dapat memperoleh bahan bukti yang cukup dan memadai. Tahap perencanaan audit dilakukan dengan menentukan ruang lingkup, tujuan dan pelaksanaan audit, persiapan penelitian lapangan dan pengumpulan bukti-bukti. a. Penentuan ruang lingkup Ruang lingkup dari audit sistem informasi penggajian pada PT. AQUARIUS MUSIKINDO adalah pengendalian manajemen dan pengendalian aplikasi terhadap sistem informasi penggajian yang sedang berjalan. Pengendalian manajemen

difokuskan

pada

pengendalian

manajemen

keamanan

pengendalian manajemen operasional. Sedangkan pengendalian aplikasi 64

dan

65 difokuskan terhadap pengendalian batasan sistem aplikasi, pengendalian masukan dan pengendalian keluaran. b. Tujuan pelaksanaan audit Tujuan dan pelaksanaan audit adalah untuk: 1. Mengidentifikasi masalah dan kelemahan pada sistem informasi penggajian yang sedang berjalan. 2. Memberikan rekomendasi untuk mengurangi resiko dari permasalahan yang muncul dalam sistem informasi penggajian. 3. Menghasilkan laporan audit bagi PT. AQUARIUS MUSIKINDO. c. Persiapan penelitian lapangan Untuk melakukan penelitian lapangan, maka auditor membuat program kerja audit sebagai berikut: 1. Mengatur jadwal untuk dapat bertemu dengan Manajer Personalia pada PT. AQUARIUS MUSIKINDO. 2. Bertemu dengan Manajer Personalia perusahaan dan meminta izin untuk melaksanakan audit serta mengajukan proposal pelaksanaan audit. 3. Mengumpulkan data perusahaan, seperti latar belakang perusahaan, visi dan misi perusahaan, struktur organisasi perusahaan, peraturan-peraturan perusahaan, serta tugas, tanggung jawab dan wewenang jabatan-jabatan dalam struktur organisasi perusahaan. 4. Melakukan wawancara dengan Bagian Personalia yang berhubungan dengan sistem informasi penggajian berdasarkan atas check-list yang telah dibuat dan melakukan pengumpulan data-data yang berhubungan dengan audit yang sedang dilakukan.

66 5. Melakukan wawancara dengan Bagian IT Development yang bertanggung jawab terhadap pemeliharaan dan pengendalian sistem aplikasi penggajian berdasarkan atas check-list yang telah dibuat. 6. Melakukan analisa terhadap hasil wawancara untuk dapat mengetahui kelebihan dan kekurangan dari sistem yang sedang digunakan oleh perusahaan. 7. Membuat laporan audit berdasarkan analisa yang telah dilakukan. d. Pengumpulan bukti-bukti Pengumpulan bukti-bukti diperoleh dari pihak-pihak yang berkaitan dengan materi audit seperti pada Bagian Personalia dan Bagian IT. Bukti-bukti dikumpulkan dengan berbagai cara, antara lain : 1. Observasi Auditor melakukan observasi dengan mengunjungi PT. AQUARIUS MUSIKINDO untuk mendapatkan gambaran umum mengenai perusahaan tersebut. Dengan mengamati setiap kegiatan yang dilakukan oleh Bagian Personalia dapat diketahui apakah prosedur dan sistem pengendalian internal sudah diterapkan oleh karyawan yang berwenang. Observasi yang dilakukan oleh auditor ditekankan pada penggajian. 2. Wawancara Auditor melakukan wawancara secara lisan dengan menggunakan bantuan check-list terhadap staf yang bersangkutan untuk memperoleh gambaran secara rinci mengenai siklus penggajian yang ada. Pertanyaan yang ditanyakan seputar prosedur dan tata laksana sistem informasi penggajian

67 yang dijalankan. Dari jawaban-jawaban tersebut dapat dikumpulkan untuk mengambil suatu kesimpulan dan memberikan rekomendasi.

4.2 Pengevaluasian Bukti Audit pada Pengendalian Manajemen Dalam melakukan pengevaluasian terhadap pengendalian manajemen, auditor hanya memfokuskan pada pengendalian manajemen keamanan dan pengendalian manajemen operasional. 4.2.1 Pengendalian Manajemen Keamanan Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian Personalia, maka hasil wawancara tersebut ditampilkan sebagai berikut: 4.2.1.1

Check-List Pengendalian Manajemen Keamanan Tabel 4.1 Hasil Wawancara Pengendalian Manajemen Keamanan

No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah terdapat alarm kebakaran Perusahaan hanya memiliki baik yang otomatis ataupun yang alarm kebakaran manual. manual yang diletakkan di lokasi yang strategis untuk melindungi aset perusahaan? 2. Apakah terdapat alat pemadam kebakaran otomatis di setiap ruangan? 3. Apakah terdapat alat pemadam kebakaran manual yang diletakkan pada posisi yang mudah dijangkau? 4. Apakah dilakukan pengecekan alat Alat pemadam kebakaran pemadam kebakaran secara dicek setiap setahun sekali. periodik? 5. Apakah terdapat hydrant sebagai Satpam diberikan pelatihan alat tambahan untuk menganuntuk menggunakan tisipasi kebakaran? hydrant tersebut. 6. Apakah perusahaan memiliki pintu dan tangga darurat untuk tindakan evakuasi jika terjadi kebakaran?

3

3

3 3 3 3

68 7.

8. 9.

Apakah ruangan penyimpanan data dan sistem informasi terletak pada ruangan yang aman dari ancaman banjir? Apakah perusahaan memiliki generator untuk mengantisipasi gangguan sumber listrik? Apakah perusahaan menggunakan UPSs sebagai alat penyimpan arus listrik sementara jika terjadi gangguan terhadap arus listrik dan sebagai salah satu media untuk melindungi perangkat komputer?

10.

Apakah perusahaan menggunakan stabilizer untuk mengantisipasi gangguan tegangan listrik?

11.

Apakah terdapat AC dalam ruangan komputer? Apakah temperatur atau suhu AC di ruangan Personalia diatur sehingga mendukung penggunaan komputer untuk jangka waktu yang lama? Apakah AC dibersihkan secara periodik sehingga suhu ruangan tetap stabil? Apakah setiap ruangan dijaga kebersihannya sehingga terbebas dari polusi dan bakteri yang dapat membawa dampak buruk pada peralatan komputer? Apakah perusahaan menggunakan sarung penutup komputer untuk melindungi komputer dari debu? Apakah aset perusahaan sudah diasuransikan?

12.

13. 14.

15. 16.

17.

Apakah perusahaan menggunakan firewall untuk menjaga keamanan data?

3

Ruang penyimpanan data dan sistem informasi terletak di lantai 3.

3

Perusahaan memiliki 2 generator untuk mengatasi gangguan sumber listrik. Tidak semua komputer perusahaan menggunakan UPSs, hanya komputer di bagian tertentu seperti Kepala Bagian dari tiap divisi yang dilengkapi UPSs dan sesuai kebutuhan. Komputer perusahaan tidak menggunakan stabilizer karena tegangan listrik untuk lokasi perusahaan stabil.

3

3 3 3

Temperatur AC diatur antara 24-25 derajat Celcius.

3

AC dibersihkan sebulan sekali.

3

Ruangan dibersihkan oleh cleaning service sebelum jam kerja.

setiap

3 3

Aset perusahaan sudah diasuransikan seperti gedung, mobil, gudang kaset rekaman, studio dan peralatan musik.

3

69 Apakah perusahaan membatasi akses masuk ke ruangan data (penggajian) hanya pada karyawan tertentu? Apakah komputer difasilitasi dengan anti virus?

3

20.

Apakah anti virus diupdate secara periodik?

3

21.

Apakah selalu dilakukan scanning virus terhadap komputer?

3

18.

19.

3

Hanya karyawan Bagian Personalia yang mendapat akses untuk masuk ke ruangan data (penggajian). Komputer sudah difasilitasi dengan Norton Anti Virus 2004. Anti virus diupdate secara otomatis menggunakan live update Norton Anti Virus. Scanning terhadap virus dilakukan setiap seminggu sekali.

4.2.1.2 EVALUASI RESIKO POTENSIAL PENGENDALIAN DAN REKOMENDASI Temuan Audit: 1) Perusahaan tidak menggunakan firewall untuk menjaga keamanan data. 2) Perusahaan tidak memasang alarm kebakaran otomatis dan hanya menggunakan alarm kebakaran manual. 3) Tidak terdapat alat pemadam kebakaran otomatis dalam perusahaan. 4) Komputer perusahaan tidak dilengkapi dengan stabilizer dan UPSs hanya dilengkapi pada bagian-bagian tertentu sesuai dengan kebutuhannya. 5) Peralatan komputer tidak ditutup dengan sarung penutup selama komputer tersebut tidak digunakan.

70 Resiko: 1) Tingkat keamanan lebih rendah jika tidak dilengkapi dengan firewall dan adanya kemungkinan hacker mengakses data. 2) Keterlambatan menyebabkan

dalam

membunyikan

kebakaran

yang

lebih

alarm besar

manual dan

dapat adanya

kemungkinan korban jiwa yang semakin banyak. 3) Penggunaan alat pemadam kebakaran manual hanya mengatasi sebagian kecil lokasi kebakaran sehingga api dapat menyebar secara cepat ke lokasi lainnya. 4) Tegangan listrik yang tidak stabil dapat merusak komputer. 5) Komputer lebih rawan terhadap debu yang dapat membawa dampak buruk pada peralatan komputer. Rekomendasi: 1) Sebaiknya komputer dilengkapi dengan firewall untuk menjaga keamanan data perusahaan. 2) Sebaiknya perusahaan juga menyediakan alarm kebakaran yang otomatis di setiap ruangan sehingga lebih cepat dalam mendeteksi kebakaran. 3) Selain menggunakan alat pemadam kebakaran manual, sebaiknya perusahaan juga menggunakan alat pemadam kebakaran otomatis di setiap ruangan. 4) Sebaiknya setiap komputer dilengkapi dengan UPSs dan sebagai tindakan pencegahan terhadap kemungkinan tegangan listrik yang

71 tidak stabil sebaiknya perusahaan melengkapi komputernya dengan stabilizer. 5) Komputer yang tidak digunakan sebaiknya ditutup dengan sarung penutup komputer untuk melindungi komputer dari debu. 4.2.2 Pengendalian Manajemen Operasional Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian Personalia dan Bagian IT Development,

maka hasil wawancara tersebut

ditampilkan sebagai berikut: 4.2.2.1

Check-List Pengendalian Manajemen Operasional Tabel

4.2

Hasil

Wawancara

Pengendalian

Manajemen

Operasional No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah terdapat kamera pengawas Tidak terdapat kamera di lingkungan perusahaan? pengawas karena memerlukan biaya yang besar. 2. Apakah terdapat mesin absensi Mesin absensi digunakan untuk pengabsenan karyawan? saat jam masuk dan keluar kantor. 3. Apakah terdapat pengawasan Kepala bagian hanya terhadap pengabsenan yang melakukan pengawasan dilakukan oleh karyawan terhadap karyawan yang hadir dalam ruangan tetapi tidak mengecek kebenaran absensi pada kartu absensi. 4. Apakah terdapat pengawasan terhadap penggunaan fasilitas kantor yang dilakukan oleh karyawan? 5. Apakah terdapat pelatihan untuk Untuk pelatihan yang karyawan baru yang berhubungan berhubungan dengan sistem langsung dengan sistem? dilatih oleh Bagian IT Development. 6. Apakah dalam periode tertentu Evaluasi terhadap kinerja dilakukan evaluasi terhadap karyawan dilakukan setiap

3

3 3

3

3 3

72

7. 8.

9.

kinerja karyawan? Apakah ruangan server telah ditempatkan pada tempat yang strategis? Apakah perusahaan sudah menggunakan hardware dan software yang sesuai dan dapat dihandalkan untuk mendukung sistem informasi? Apakah hardware dan software yang ada sudah dikelola dengan efektif dan efisien sesuai dengan kebutuhan perusahaan?

10.

Apakah perusahaan melakukan perawatan terhadap hardware dan software secara periodik?

11.

Apakah perusahaan sudah memiliki jaringan komunikasi? Jika ya, jaringan apa yang digunakan? a. LAN b. WAN

12.

13. 14.

Apakah terdapat pengawasan terhadap keamanan jaringan? Jika ya, siapa yang bertanggungjawab terhadap keamanan jaringan? Apakah terdapat penjadwalan kerja dalam pemakaian komputer yang terdapat di dalam perusahaan? Apakah perusahaan sudah memberikan gaji sesuai dengan standar UMP (Upah Minimum Propinsi)?

3 bulan sekali. Ruangan server terletak di lantai dua.

3 3 3

Hardware dan software telah dikelola dengan efektif dan efisien. Sebagai contoh: perusahaan menggunakan Pentium III karena masih dapat mendukung kegiatan operasional. Perusahaan melakukan perawatan hardware dan software setiap 1 tahun sekali dan pada saat kondisi accidental. Perawatannya dilakukan oleh Bagian Technical Support.

3

3 3 3

Manajer IT yang bertanggungjawab terhadap keamanan jaringan.

3 3

Setiap bagian mengoperasikan komputernya masing-masing Perusahaan memberikan gaji di atas standar UMP (Jakarta = Rp.711.843) dimana gaji minimum yang berlaku di perusahaan adalah Rp. 826.000 per bulan.

73 4.2.2.2 EVALUASI RESIKO POTENSIAL PENGENDALIAN DAN REKOMENDASI Temuan Audit: 1) Tidak memasang kamera pengawas di lingkungan perusahaan tetapi terdapat

satpam yang menjaga

keamanan perusahaan

secara bergiliran. 2) Tidak terdapat pengawasan terhadap fasilitas kantor sehingga karyawan dapat menggunakan fasilitas kantor untuk kepentingan diri sendiri. 3) Pengawasan yang dilakukan terhadap absensi karyawan masih belum optimal karena terdapat kejadian dimana karyawan dapat mengabsen kehadiran temannya. Resiko: 1) Pengamanan terhadap lingkungan perusahaan belum sepenuhnya terkontrol dengan baik karena adanya kemungkinan ancaman datang dari dalam perusahaan misalnya: pencurian yang dilakukan oleh karyawan. 2) Menimbulkan biaya tambahan yang merugikan perusahaan. 3) Menimbulkan pelanggaran terhadap jam kerja dan mempengaruhi kinerja karyawan. Rekomendasi: 1) Selain pengamanan yang dilakukan oleh satpam, sebaiknya perusahaan menggunakan kamera pengawas pada ruangan-

74 ruangan yang menyimpan aset perusahaan yang penting seperti peralatan menggandakan kaset. 2) Perusahaan membuat kebijakan mengenai penggunaan fasilitas kantor dan mengenakan sanksi yang tegas bagi karyawan yang melakukan pelanggaran. 3) Sebaiknya pada jam masuk dan keluar kantor, terdapat staf Bagian Personalia yang mengawasi jalannya pengisian absensi.

4.3 Pengevaluasian Bukti Audit pada Pengendalian Aplikasi Dalam melakukan pengevaluasian terhadap pengendalian aplikasi, auditor berfokus pada pengendalian batasan sistem aplikasi, pengendalian masukan, pengendalian keluaran. 4.3.1 Pengendalian Batasan Sistem Aplikasi Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian IT Development, maka hasil wawancara tersebut ditampilkan sebagai berikut: 4.3.1.1

Check-List Pengendalian Batasan Sistem Aplikasi Tabel 4.3 Hasil Wawancara Pengendalian Batasan Sistem Aplikasi

No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah terdapat identifikasi akses Perusahaan menggunakan terhadap sistem penggajian? metode password untuk Jika ya, metode apakah yang dimengidentifikasi akses gunakan dan sejauh mana metode terhadap sistem penggajian. tersebut diimplementasikan? a. Username b. Sidik jari c. Suara d. Password?

3

75 Apakah terdapat ketentuan panjang minimum untuk password? Apakah password yang diinput boleh kurang dari digit yang disediakan?

3

4.

Apakah password yang diketikkan tidak terlihat/ invisible?

3

5.

Apakah dalam penggunaan password dilakukan dengan kombinasi? Jika ya, metode apa yang digunakan? a. Alfabet, angka, tanda baca? b. Karakter campuran lainnya? Apakah sistem melakukan enkripsi atas password user? Jika ya, teknik cryptographic apa yang digunakan? a. Transposition ciphers b. Substitution ciphers c. Product ciphers Apakah terdapat batasan maksimum untuk kesalahan memasukkan password? Jika ya, berapa kali kesempatan yang diberikan untuk memasukkan password? Apakah perusahaan melakukan perubahan password secara berkala? Apakah perusahaan melakukan pergantian password secepatnya apabila ada karyawan yang mengoperasikan sistem penggajian berhenti bekerja? Apakah perusahaan memiliki kebijakan terhadap pembatasan akses terhadap data? Jika ya, kebijakan pengendalian akses apa yang digunakan?

2. 3.

6.

7.

8. 9.

10.

3

Panjang password telah ditentukan sebanyak 7 digit. Password yang diinput harus sesuai dengan jumlah digit yang telah disediakan yaitu 7 digit. Password yang diketikkan disembunyikan dalam bentuk . Password dibuat dengan kombinasi alfabet dan angka.

3 3

3

3

Apabila terjadi kesalahan pengisian password, maka otomatis akan keluar dari sistem. Perubahan password dilakukan secara berkala, yaitu setiap akhir tahun.

3 Perusahaan membatasi akses dengan menggunakan kebijakan Mandatory Access Control karena hanya karyawan personalia yang -

76

11.

12.

a. Discretionary access control b. Mandatory access control Apakah perusahaan membatasi hak akses bagi karyawan tertentu? Dan jika ya, sejauh mana tindakan yang dapat dilakukan oleh karyawan tersebut terhadap data yang ada dalam sistem? a. Read b. Add c. Modify Apakah setiap akses yang dilakukan terhadap sistem direkam secara otomatis untuk memudahkan audit trail? 4.3.1.2

3

mendapat hak untuk mengakes data penggajian yang bersifat confidential. Yang berhak mengakses data dalam sistem pengajian hanya karyawan personalia dimana karyawan tersebut dapat melakukan read, add dan modify terhadap data tersebut.

3 3 3

3

Evaluasi Resiko Potensial Pengendalian dan Rekomendasi Temuan Audit: 1) Dalam pengidentifikasian akses terhadap sistem penggajian, perusahaan hanya menggunakan password. 2) Pergantian password dilakukan setahun sekali sehingga tingkat keamanan terhadap akses yang tidak terotorisasi lebih rendah. 3) Perusahaan tidak melakukan sistem enkripsi terhadap password user. 4) Setiap akses yang dilakukan terhadap sistem tidak direkam. 5) Tidak terdapat batasan maksimum untuk kesalahan password. Kesempatan untuk memasukkan password hanya sekali. Apabila terjadi kesalahan pengisian password, maka otomatis akan keluar dari sistem.

77 Resiko: 1) Apabila identifikasi hanya menggunakan password maka lebih mudah ditebak sehingga tingkat pengendaliannya lebih rendah. 2) Tingkat keamanan lebih rendah sehingga memudahkan pihak yang tidak memiliki otorisasi untuk mengakses sistem. 3) Tanpa sistem enkripsi maka password lebih mudah dipecahkan oleh hacker. 4) Lebih sulit untuk melakukan audit trail apabila setiap akses terhadap sistem tidak direkam. 5) Membutuhkan waktu yang lebih lama untuk masuk ke dalam sistem informasi penggajian dan memperlambat pekerjaan. Rekomendasi: 1) Untuk pengidentifikasian akses terhadap sistem penggajian akan lebih baik jika menggunakan username dan password. Dengan menggunakan username maka pihak yang tidak berwenang harus mengisi username dan password yang tepat untuk dapat mengakses ke dalam sistem sehingga tingkat keamanannya lebih tinggi. 2) Sebaiknya password diganti sesering mungkin sesuai dengan kebutuhan user dan perusahaan. 3) Password sebaiknya dienkripsi untuk mempersulit pihak-pihak yang ingin mendapatkan password secara ilegal dengan menggunakan teknik substitution ciphers karena sudah bisa memenuhi kebutuhan perusahaan.

78 4) Akan lebih baik jika perusahaan menggunakan alat perekam otomatis, contohnya key logger untuk memudahkan proses audit trail. 5) Sistem penggajian sebaiknya memberikan kesempatan untuk memasukkan password maksimal tiga kali karena adanya kemungkinan terjadi kesalahan penginputan password.

4.3.2 Pengendalian Masukan Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian Personalia dan Bagian IT Development, maka hasil wawancara tersebut ditampilkan sebagai berikut: 4.3.2.1

Check-List Pengendalian Masukan Tabel 4.4 Hasil Wawancara Pengendalian Masukan

No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah metode input data yang Perusahaan menggunakan digunakan oleh perusahaan? metode keyboarding untuk menginput data. a. Keyboarding b. Direct Reading c. Direct Entry 2. Apakah perusahaan menggunakan Dokumen yang digunakan adalah keterangan lembur dokumen-dokumen tertentu untuk menginput data penggajian? dan keterangan kasbon yang Jika ya, dokumen apa yang sudah direkap menjadi daftar digunakan oleh Bagian Personalia lembur dan daftar kasbon. dalam menginput data pengDokumen pendukung yang gajian? digunakan adalah perubahan peraturan persentase ASTEK, perubahan UU Pajak Penghasilan, keputusan kenaikan gaji, dan keputusan promosi/demosi.

3 3

79 3.

Apakah dokumen yang akan diinput memperoleh otorisasi terlebih dahulu dari pihak yang berwenang?

3

4.

Apakah terdapat ketentuan perhitungan jam lembur karyawan? Jika ya, bagaimana cara perhitungannya?

3

5.

Apakah terdapat jumlah maksimal jam lembur karyawan?

6.

Apakah terdapat pengawasan terhadap pelaksanaan lembur? Jika ada, siapakah yang mengawasi pelaksanaan lembur?

3

7.

Apakah terdapat kebijakan yang diberlakukan perusahaan berkaitan dengan Kasbon? Jika ada, bagaimana kebijakan yang diberlakukan perusahaan berkaitan dengan Kasbon dan bagaimana cara pelunasannya?

3

8. 9.

Apakah perusahaan menggunakan nomor urut tercetak pada setiap dokumen? Dokumen dalam sistem penggajian diinput dengan metode apa?

3

Keterangan lembur diotorisasi oleh Kepala Bagian dari masing-masing karyawan dan kas bon diotorisasi oleh Bagian Accounting. Kemudian keterangan lembur dan kasbon tersebut direkap oleh Bagian Personalia menjadi Daftar Lembur dan Kasbon. Perhitungan lembur: 1/173 x gaji netto x jam lembur Tidak terdapat perhitungan kelipatan pada jam lembur berikutnya. Tidak terdapat ketentuan maksimal jam lembur, tergantung pada pekerjaan yang harus diselesaikan oleh karyawan. Kepala Bagian mengawasi pelaksanaan lembur karyawan dan pelaksanaan lembur dapat dilihat dari absensi serta hasil pekerjaannya. Maksimum peminjaman kas bon adalah: 1 x gaji karyawan x 6 bulan 2 Contoh : gaji karyawan adalah Rp. 1.000.000 maka peminjaman maksimum adalah Rp 3.000.000. Kas bon harus dibayar dengan memotong langsung dari gaji karyawan tanpa dikenai bunga.

3 3

Dokumen dalam sistem penggajian diinput dengan metode batch. Setiap tanggal

80

10.

11.

12.

13. 14.

15.

16.

17.

a. Batch b. Real time Jika batch, berapa lama periode batch data yang diperlukan untuk penginputan sistem penggajian? Apakah dokumen diarsip? Jika ya berapa lama dokumen untuk penginputan data diarsip oleh perusahaan? Apakah setiap penghancuran dokumen sumber akan dibuat berita acara penghancuran dokumen? Apakah perusahaan memiliki alat penghancur kertas untuk mendukung proses penghancuran dokumen sumber?

Apakah sistem penggajian dilengkapi help facility untuk membantu user dalam penginputan data? Pendekatan apa yang digunakan dalam layar penginputan data? a. Fill in area b. Multiple choice c. Tick marks atau indikasi nilai untuk menentukan ukuran field d. Combination instruction dengan pertanyaan Apakah interval waktu untuk melakukan penginputan data dari screen yang satu ke screen yang berikutnya membutuhkan waktu yang lama? Apakah warna pada tampilan layar mengganggu pandangan mata pada saat penginputan data? Apakah menu penginputan sudah tersusun secara sistematis dan berurut sehingga memudahkan proses penginputan data?

20 semua dokumen akan dibatch untuk diproses.

3

Dokumen diarsip sampai 10 tahun.

3 3

3 3

Perusahaan memiliki alat penghancur kertas tetapi tidak digunakan menghancurkan dokumen. Perusahaan memilih cara dengan membakar dokumen yang sudah tidak digunakan. Sistem penggajian tidak dilengkapi dengan help facility. Karyawan Bagian Personalia menginput data dengan memasukkan data ke dalam kolom yang disediakan (fill in area).

3 3 3

Menu penginputan sudah tersusun secara sistematis dan berurutan yaitu: Biodata Æ Honor Æ Proses Æ Display Print Æ Set

81 Tanggal Æ Quit . 18.

Apakah tampilan input bersifat user friendly?

3

19.

Apakah data yang diinput bersifat case sensitive (berpengaruh terhadap huruf besar/kecil)?

3

20.

Apakah penginputan data boleh kurang dari digit angka yang disediakan pada tampilan layar? Apakah penginputan data penggajian hanya dilakukan oleh karyawan yang berwenang? Tipe pengkodean apa yang digunakan dalam penginputan data? a. Serial Codes b. Block Sequence Codes c. Hierarhical Codes d. Association Codes Apakah dilakukan pengecekan kembali setelah melakukan pengentrian data? Apabila terjadi kesalahan dalam penginputan data, apakah program aplikasi akan menampilkan error message dengan tindakan yang harus dilakukan?

3

Jika terjadi error, apakah user dapat melakukan koreksi terhadap kesalahan yang terjadi atau langsung keluar dari sistem?

3

21. 22.

23. 24.

25.

4.3.2.2

3

3 3 3

Data yang diinput bersifat case sensitive dimana penginputan harus menggunakan huruf besar.

Penginputan data hanya dilakukan oleh karyawan personalia. Tipe pengkodean yang digunakan adalah Association Codes. Sebagai contoh kode AKN diasosiasikan dengan Bagian Akuntansi. KAN diasosiasikan dengan Bagian Kantor. Setiap data yang dimasukkan dicek kembali sekurangkurangnya tiga kali. Program aplikasi menampilkan error message apabila data yang diinput salah. Contoh apabila nomor karyawan yang diinput salah maka akan muncul message “Karyawan tidak terdaftar”. User dapat melakukan koreksi terhadap kesalahan yang dibuatnya dan tidak keluar dari sistem.

Evaluasi Resiko Potensial Pengendalian dan Rekomendasi Temuan Audit: 1) Dokumen-dokumen yang digunakan untuk penginputan tidak menggunakan nomor urut tercetak.

82 2) Perusahaan menggunakan metode keyboarding untuk menginput data. 3) Perusahaan tidak membuat berita acara untuk penghancuran dokumen. 4) Perusahaan memiliki alat penghancur kertas tetapi tidak menggunakannya dalam menghancurkan dokumen tetapi memilih cara dengan membakar dokumen yang sudah tidak digunakan. 5) Sistem penggajian tidak dilengkapi dengan help facility. Resiko: 1) Dokumen tidak terkontrol dengan baik dan sulit mendeteksi dokumen yang hilang. 2) Dapat terjadi kesalahan dalam penginputan data (human error). 3) Tidak mengetahui dokumen apa saja yang telah dihancurkan dan kapan proses penghancuran tersebut dilakukan. 4) Dapat menimbulkan polusi dan adanya kemungkinan dokumen tidak terbakar secara total sehingga disalahgunakan oleh orang lain. 5) Karyawan baru memerlukan waktu yang lama untuk mempelajari sistem jika tanpa disertai dengan help facility. Rekomendasi: 1) Sebaiknya dokumen-dokumen yang akan diinput memiliki nomor urut tercetak. 2) Perusahaan

tetap

menggunakan

metode

keyboarding

dan

karyawan yang melakukan penginputan harus bekerja lebih teliti

83 serta melakukan pengecekan ulang terhadap data yang telah diinput. 3) Perusahaan harus membuat berita acara untuk penghancuran dokumen. 4) Sebaiknya perusahaan menggunakan alat penghancur kertas yang telah tersedia sehingga lebih efektif dan aman dalam proses penghancuran dokumen. 5) Sistem penggajian didukung oleh help facility sehingga dapat membantu karyawan dalam mempelajari sistem lebih mudah.

4.3.3 Pengendalian Keluaran Berdasarkan wawancara yang dilakukan oleh auditor dengan Bagian Personalia, maka hasil wawancara tersebut ditampilkan sebagai berikut: 4.3.3.1

Check-List Pengendalian Keluaran Tabel 4.5 Hasil Wawancara Pengendalian Keluaran

No. PERTANYAAN YA TIDAK KETERANGAN 1. Apakah setiap laporan yang Tidak semua laporan mendihasilkan selalu mencantumkan cantumkan tanggal, bulan, tanggal, bulan, tahun dan waktu tahun dan waktu pencetakan. pencetakan? Hanya laporan Daftar Honor Karyawan Bulanan, Perincian Astek, Daftar Rekapitulasi Transfer yang mencantumkan tanggal, bulan, tahun dan waktu pencetakan. 2. Apakah pada setiap laporan Setiap laporan yang dicantumkan: dihasilkan mencantumkan a. nomor halaman dan tanda nomor halaman dan tanda akhir halaman akhir halaman. Contoh: 1/3 b. nomor halaman yang berarti halaman 1 dari c. tanda akhir halaman 3 halaman.

3

3

84

3

3.

Apakah laporan diserahkan kepada pihak yang berwenang?

4.

Apakah laporan-laporan yang dihasilkan didistribusikan tepat pada awal periode?

3

5.

Apakah laporan yang dihasilkan mendapat otorisasi dari pihak yang berwenang? Apakah disediakan kolom tanda tangan untuk pembuat laporan?

3

6.

3

7.

Apakah diberlakukan klasifikasi pada setiap laporan?

3

8.

Apakah setiap laporan disimpan pada tempat yang mudah dijangkau dan tersusun rapi sehingga bila dibutuhkan maka mudah ditemukan? Apakah terdapat kebijakan waktu yang untuk menyimpan suatu laporan?

3

9.

10. 11.

12.

Apakah terdapat berita acara dalam menghancurkan laporan yang tidak diperlukan? Apakah posisi printer sebagai sumber output cukup strategis? Apakah printer Bagian Personalia juga digunakan oleh bagian lainnya? Jika ya, apakah terjadi sistem antrian untuk mencetak?

4.3.3.2

Laporan diserahkan kepada Manajer Personalia dan Direktur. Laporan didistribusikan hanya pada saat dibutuhkan oleh Manajer Personalia dan Direktur.

Setiap laporan diklasifikasikan berdasarkan nama laporan. Laporan disimpan pada tempat yang mudah dijangkau. Susunan laporan cukup rapi dan mudah ditemukan. Kebijakan yang ditetapkan perusahaan untuk menyimpan laporan selama 10 tahun.

3 3 3 3

Posisi printer terletak pada posisi yang strategis yaitu berada tepat disebelah komputer. Printer khusus digunakan oleh karyawan Bagian Personalia sehingga tidak terjadi sistem antrian untuk menghasilkan output.

Evaluasi Resiko Potensial Pengendalian dan Rekomendasi Temuan Audit: 1) Laporan tidak diotorisasi oleh Manajer Personalia.

85 2) Tidak semua laporan mencantumkan tanggal, bulan, tahun dan waktu pencetakan. Hanya laporan Daftar Honor Karyawan Bulanan, Perincian Astek, Daftar Rekapitulasi Transfer yang mencantumkan tanggal, bulan, tahun dan waktu pencetakan. 3) Laporan didistribusikan kepada Manajer Personalia dan Direktur hanya pada saat dibutuhkan. 4) Tidak tersedia kolom tanda tangan dan nama pembuat laporan. 5) Perusahaan tidak menggunakan berita acara untuk menghancurkan laporan-laporan yang tidak diperlukan lagi. 6) Perusahaan tidak menggunakan alat penghancur kertas yang telah tersedia pada saat proses penghancuran laporan tetapi dengan cara membakar laporan-laporan tersebut. Resiko: 1) Tidak adanya pengendalian internal yang baik dan adanya kemungkinan laporan tersebut merupakan hasil rekayasa dari karyawan. 2) Tidak diketahui secara tepat kapan waktu laporan tersebut dihasilkan. 3) Kurangnya pengawasan dari Manajer Personalia dan Direktur perusahaan sehingga memungkinkan terjadinya kecurangan. 4) Sulit mengetahui siapa yang bertanggungjawab atas laporan yang dibuat. 5) Tidak mengetahui laporan apa saja yang telah dihancurkan dan kapan proses penghancuran tersebut dilakukan.

86 6) Dapat menimbulkan polusi dan adanya kemungkinan laporan tidak terbakar secara total sehingga disalahgunakan oleh orang lain. Rekomendasi: 1) Laporan harus mendapat otorisasi dari Manajer Personalia sehingga terdapat pengendalian internal yang baik. 2) Semua laporan harus mencantumkan tanggal, bulan, tahun dan waktu pencetakan. 3) Setiap laporan yang dihasilkan didistribusikan kepada Manajer Personalia dan Direktur tepat pada awal periode. 4) Harus disediakan kolom tanda tangan dan nama pembuat laporan sehingga diketahui siapa yang bertanggungjawab atas laporan tersebut. 5) Perusahaan harus membuat berita acara untuk penghancuran laporan. 6) Sebaiknya perusahaan menggunakan alat penghancur kertas yang sehingga lebih efektif dan aman dalam proses penghancuran laporan.

Tabel 4.6 MATRIKS TEMUAN MASALAH, RESIKO, REKOMENDASI DAN PERSON IN CHARGE TEMUAN MASALAH 1. Pengendalian Manajemen

RESIKO

REKOMENDASI

PERSON IN CHARGE

Keamanan a. Perusahaan tidak menggunakan

firewall

untuk

menjaga keamanan data.

a. Tingkat

keamanan

lebih

a. Sebaiknya komputer di- Technical Support.

rendah jika tidak dilengkapi

lengkapi dengan firewall

dengan firewall dan adanya

untuk menjaga keamanan

kemungkinan hacker meng-

data perusahaan.

akses data. b. Perusahaan tidak memasang

alarm

otomatis

b. Keterlambatan dalam mem-

b. Sebaiknya perusahaan juga Bagian Keamanan.

kebakaran

bunyikan alarm manual da-

menyediakan alarm keba-

hanya

pat menyebabkan kebakaran

karan yang otomatis di

alarm

yang lebih besar dan adanya

setiap ruangan sehingga

kemungkinan korban jiwa

lebih cepat dalam men-

yang semakin banyak.

deteksi kebakaran.

dan

menggunakan kebakaran manual.

87

c. Tidak terdapat alat pema-

c. Penggunaan alat pemadam

c. Selain menggunakan alat Bagian Keamanan.

dam kebakaran otomatis

kebakaran

manual

hanya

pemadam kebakaran ma-

dalam perusahaan.

mengatasi

sebagian

kecil

nual, sebaiknya perusaha-

lokasi kebakaran sehingga

an juga menggunakan alat

api dapat menyebar secara

pemadam

cepat ke lokasi lainnya.

otomatis di setiap ruangan.

d. Komputer perusahaan tidak dilengkapi

dengan

stabilizer dan UPSs hanya

stabil komputer.

dapat

merusak

d. Sebaiknya setiap komputer Technical Support. dilengkapi dengan UPSs dan

sebagai

tindakan

pada

bagian-

pencegahan terhadap ke-

tertentu

sesuai

mungkinan tegangan listrik

dilengkapi bagian

d. Tegangan listrik yang tidak

kebakaran

dengan kebutuhannya.

yang tidak stabil sebaiknya perusahaan komputernya

melengkapi dengan

stabilizer.

88

e. Peralatan komputer tidak ditutup

dengan

e. Komputer

lebih

rawan

e. Komputer

yang

tidak Bagian

sarung

terhadap debu yang dapat

digunakan sebaiknya ditu- Kantor.

penutup selama komputer

membawa dampak buruk

tup dengan sarung penutup

tersebut tidak digunakan.

pada peralatan komputer.

komputer

untuk

Pemeliharaan

melin-

dungi komputer dari debu. 2. Pengendalian

Manajemen

Operasional a. Tidak memasang kamera pengawas

di

a. Pengamanan terhadap ling-

a. Selain pengamanan yang Bagian Keamanan

lingkungan

kungan perusahaan belum

dilakukan

perusahaan tetapi terdapat

sepenuhnya terkontrol de-

sebaiknya

satpam

menjaga

ngan baik karena adanya

menggunakan

perusahaan

kemungkinan ancaman da-

pengawas pada ruangan-

tang dari dalam perusahaan

ruangan yang menyimpan

misalnya: pencurian yang

aset

dilakukan oleh karyawan.

penting seperti peralatan

yang

keamanan secara bergiliran.

oleh

satpam,

perusahaan

perusahaan

kamera

yang

89

menggandakan kaset. b. Tidak terdapat pengawasan terhadap

fasilitas

kantor

sehingga karyawan dapat

b. Menimbulkan

biaya

b. Perusahaan

membuat Bagian Kantor.

tambahan yang merugikan

kebijakan mengenai peng-

perusahaan.

gunaan fasilitas kantor dan

menggunakan fasilitas kan-

mengenakan sanksi yang

tor untuk kepentingan diri

tegas bagi karyawan yang

sendiri.

melakukan pelanggaran.

c. Pengawasan yang dilakukan

c. Menimbulkan pelanggaran

terhadap absensi karyawan

terhadap jam kerja dan

dan keluar kantor, terdapat

masih belum optimal karena

mempengaruhi

Staf

terdapat kejadian dimana

karyawan.

karyawan dapat mengabsen

kinerja

c. Sebaiknya pada jam masuk Staf Bagian Personalia.

Bagian

Personalia

yang mengawasi jalannya pengisian absensi.

kehadiran temannya.

90

3. Pengendalian Batasan Sistem Aplikasi a. Dalam akses

pengidentifikasian terhadap

penggajian, hanya password.

sistem

a. Apabila identifikasi hanya menggunakan

password

a. Untuk akses

pengidentifikasian IT Development. terhadap

sistem

perusahaan

maka lebih mudah ditebak

penggajian akan lebih baik

menggunakan

sehingga tingkat pengen-

jika menggunakan

daliannya lebih rendah.

name

dan

user-

password.

Dengan

menggunakan

username

maka

yang

tidak

pihak

berwenang

harus mengisi username dan password yang tepat untuk dapat mengakses ke dalam

sistem

sehingga

tingkat keamanannya lebih

91

tinggi. b. Pergantian password dilakukan setahun sekali.

b. Tingkat

keamanan

lebih

b. Sebaiknya password di- IT Development.

rendah sehingga memudah-

ganti

kan

pihak

memiliki

sesering

mungkin

yang

tidak

sesuai dengan kebutuhan

otorisasi

untuk

user dan perusahaan.

mengakses sistem. c. Perusahaan tidak melaku-

c. Tanpa sistem enkripsi maka

kan sistem enkripsi ter-

password

lebih

mudah

hadap password user.

dipecahkan oleh hacker.

sebaiknya IT Development.

c. Password dienkripsi

untuk

mem-

persulit pihak-pihak yang ingin

mendapatkan

password

secara

ilegal

dengan menggunakan teknik yang

substitution sudah

memenuhi

ciphers dapat

kebutuhan

92

perusahaan. d. Setiap

akses

yang

d. Lebih

sulit

untuk

audit

trail

d. Akan

lebih

dilakukan terhadap sistem

melakukan

tidak direkam.

apabila

setiap

akses

alat

terhadap

sistem

tidak

contohnya

direkam.

baik

jika Technical Support.

perusahaan menggunakan perekam

otomatis,

key

logger

untuk memudahkan proses audit trail.

e. Tidak

terdapat

batasan

e. Membutuhkan waktu yang

penggajian IT Development.

e. Sistem

lebih lama untuk masuk ke

sebaiknya

memberikan

salahan password. Kesem-

dalam

kesempatan

untuk

patan untuk memasukkan

dan

password

kerjaan.

maksimum

untuk

hanya

ke-

sekali.

sistem

penggajian

memperlambat

pe-

masukkan

me-

password

maksimal tiga kali karena

Apabila terjadi kesalahan

adanya

kemungkinan

pengisian password, maka

terjadi

otomatis akan keluar dari

inputan password.

kesalahan

peng-

93

sistem. 4. Pengendalian Masukan a. Setiap

dokumen

digunakan

untuk

yang peng-

a. Dokumen tidak terkontrol dengan

baik

dan

sulit

inputan tidak mengguna-

mendeteksi dokumen yang

kan nomor urut tercetak.

hilang.

b. Perusahaan menggunakan

b. Dapat

metode keyboarding untuk

dalam

menginput data.

(human error).

terjadi

kesalahan

penginputan

data

a. Sebaiknya setiap dokumen Bagian Personalia. yang akan diinput memiliki nomor urut tercetak.

b. Perusahaan tetap meng- Bagian Personalia. gunakan

metode

key-

boarding dan karyawan yang

melakukan

peng-

inputan harus bekerja lebih teliti

serta

melakukan

pengecekan ulang terhadap data yang telah diinput.

94

c. Perusahaan harus membuat Bagian Personalia.

c. Perusahaan tidak membuat

c. Tidak mengetahui dokumen

berita acara untuk peng-

apa saja yang telah di-

berita acara untuk peng-

hancuran dokumen.

hancurkan dan kapan proses

hancuran dokumen.

penghancuran

tersebut

dilakukan. d. Sebaiknya

perusahaan Bagian Personalia.

d. Perusahaan memiliki alat

d. Dapat menimbulkan polusi

penghancur kertas tetapi ti-

dan adanya kemungkinan

menggunakan alat peng-

dak menggunakannya da-

dokumen

terbakar

hancur kertas yang telah

lam menghancurkan doku-

secara

sehingga

tersedia

men tetapi memilih

disalahgunakan oleh orang

efektif dan aman dalam

lain.

proses

cara

dengan membakar dokumen

yang

sudah

tidak total

sehingga

lebih

penghancuran

dokumen.

tidak

digunakan. e. Sistem penggajian tidak dilengkapi

dengan

help

e. Karyawan baru memerlukan waktu yang lama untuk

e. Sistem penggajian didu- IT Development. kung oleh help facility

95

facility.

mempelajari

sistem

jika

sehingga dapat membantu

tanpa disertai dengan help

karyawan dalam mempela-

facility.

jari sistem lebih mudah.

5. Pengendalian Keluaran a. Laporan tidak diotorisasi oleh Manajer Personalia.

b. Tidak

semua

mencantumkan

laporan tanggal,

bulan, tahun dan waktu pencetakan. Hanya laporan

a. Tidak adanya pengendalian internal

yang

baik

a. Laporan harus mendapat Manajer Personalia.

dan

otorisasi dari Manajer Per-

adanya kemungkinan lapo-

sonalia sehingga terdapat

ran tersebut merupakan hasil

pengendalian internal yang

rekayasa dari karyawan.

baik.

b. Tidak diketahui secara tepat waktu

laporan

dihasilkan.

tersebut

b. Semua laporan sebaiknya Bagian Personalia. mencantumkan

tanggal,

bulan, tahun dan waktu pencetakan.

Daftar Honor Karyawan Bulanan, Perincian Astek,

96

Daftar Rekapitulasi Transfer yang mencantumkan tanggal, bulan, tahun dan waktu pencetakan. c. Laporan

didistribusikan

c. Kurangnya pengawasan dari

c. Setiap

laporan

yang Bagian Personalia.

kepada Manajer Personalia

manajer

dan

dihasilkan didistribusikan

dan Direktur hanya pada

direktur perusahaan sehing-

kepada Manajer Personalia

saat dibutuhkan.

ga memungkinkan terjadi-

dan Direktur tepat pada

nya kecurangan.

awal periode.

personalia

d. Harus disediakan kolom Bagian Personalia.

d. Tidak tersedia kolom tanda

d. Sulit mengetahui siapa yang

tangan dan nama pembuat

bertanggungjawab atas la-

tanda tangan dan nama

laporan.

poran yang dibuat.

pembuat laporan sehingga diketahui siapa yang bertanggungjawab

atas

laporan tersebut.

97

e. Perusahaan tidak meng-

e. Tidak mengetahui laporan

gunakan berita acara untuk

apa saja yang telah dihan-

berita acara untuk peng-

menghancurkan

curkan dan kapan proses

hancuran laporan.

laporan

yang tidak diperlukan lagi.

penghancuran

e. Perusahaan harus membuat Bagian Personalia.

tersebut

dilakukan. f. Perusahaan tidak meng-

f. Dapat menimbulkan polusi

gunakan alat penghancur

dan adanya kemungkinan

menggunakan alat peng-

kertas yang telah tersedia

laporan tidak terbakar secara

hancur kertas yang telah

pada saat proses peng-

total

tersedia

hancuran

gunakan oleh orang lain.

dengan

laporan cara

tetapi

membakar

laporan-laporan tersebut.

sehingga

disalah-

f. Sebaiknya

perusahaan Bagian Personalia.

sehingga

lebih

efektif dan aman dalam proses

penghancuran

laporan.

98

99 4.4 LAPORAN AUDIT Kepada

: PT. AQUARIUS MUSIKINDO

Perihal

: Laporan Hasil Audit Sistem Informasi Penggajian

Periode

: Januari 2006

LAPORAN AUDIT SISTEM INFORMASI PENGGAJIAN PT. AQUARIUS MUSIKINDO

I.

Tujuan Mengidentifikasi masalah dan kelemahan pada sistem informasi penggajian yang sedang berjalan, memberikan rekomendasi untuk mengurangi resiko dari permasalahan yang muncul dalam sistem informasi penggajian, menghasilkan laporan audit bagi PT. AQUARIUS MUSIKINDO.

II. Ruang lingkup Ruang lingkup dari audit sistem informasi penggajian pada PT. AQUARIUS MUSIKINDO adalah pengendalian manajemen dan pengendalian aplikasi terhadap sistem informasi penggajian. Pengendalian manajemen difokuskan pada pengendalian manajemen keamanan dan pengendalian manajemen operasional. Sedangkan pengendalian aplikasi difokuskan terhadap pengendalian batasan sistem aplikasi, pengendalian masukan, dan pengendalian keluaran. III. Metode Audit Metode audit yang digunakan adalah metode audit around the computer dengan melakukan studi pustaka, observasi, dan wawancara berdasarkan check-list yang telah disusun sebelumnya.

100 IV. Hasil Audit Berdasarkan pemeriksaan dan pengamatan yang dilakukan, kami selaku tim auditor memberikan laporan hasil audit sebagai berikut:

Pengendalian Manajemen Keamanan Terdapat beberapa kelemahan pada pengendalian manajemen keamanan antara lain yaitu perusahaan belum melengkapi komputer dengan

firewall untuk

menjaga keamanan datanya sehingga tingkat keamanan lebih rendah dan adanya kemungkinan hacker mengakses data; perusahaan tidak memasang alarm kebakaran otomatis dan alat pemadam kebakaran otomatis untuk mengantisipasi terjadinya kebakaran sehingga dapat menyebabkan kebakaran yang lebih besar dan kemungkinan korban jiwa yang semakin banyak; komputer-komputer perusahaan tidak dilengkapi dengan stabilizer sedangkan UPSs hanya dilengkapi pada komputer di bagian-bagian tertentu sehingga apabila tegangan listrik tidak stabil dapat merusak komputer; serta peralatan komputer yang tidak ditutup dengan sarung penutup selama komputer tersebut tidak digunakan sehingga komputer lebih rawan terhadap debu. Dari hasil temuan tersebut, maka auditor menyarankan perusahaan melengkapi komputer dengan firewall; menyediakan alarm kebakaran otomatis dan alat pemadam kebakaran otomatis; melengkapi setiap komputer dengan stabilizer dan UPSs; serta menggunakan sarung penutup komputer selama komputer tidak digunakan.

101 Pengendalian Manajemen Operasional Pengendalian manajemen operasional masih memiliki beberapa kelemahan seperti tidak terdapatnya kamera pengawas di lingkungan perusahaan sehingga keamanan perusahaan belum sepenuhnya terkontrol dengan baik dan adanya kemungkinan ancaman datang dari dalam perusahaan; tidak terdapat pengawasan terhadap fasilitas kantor sehingga karyawan dapat menggunakan fasilitas kantor untuk kepentingan diri sendiri yang mengakibatkan biaya tambahan yang merugikan perusahaan; serta pengawasan yang dilakukan terhadap absensi karyawan masih belum optimal karena terdapat kejadian dimana karyawan dapat mengabsen kehadiran temannya sehingga menimbulkan pelanggaran terhadap jam kerja dan mempengaruhi kinerja karyawan. Dari hasil temuan diatas, maka auditor menyarankan pengamanan terhadap lingkungan perusahaan tidak hanya menggunakan satpam tetapi juga memasang kamera pengawas pada ruangan-ruangan yang menyimpan aset berharga; membuat kebijakan mengenai penggunaan fasilitas kantor dan memberikan sanksi yang tegas bagi karyawan yang melakukan pelanggaran; serta terdapat Staf Bagian Personalia yang mengawasi jalannya pengisian absensi pada saat jam masuk dan keluar kantor.

Pengendalian Batasan Sistem Aplikasi Pengendalian batasan sistem aplikasi memiliki beberapa kelemahan sebagai berikut: perusahaan hanya menggunakan password dalam pengidentifikasian akses terhadap sistem penggajian sehingga password lebih mudah ditebak; pergantian password dilakukan setahun sekali sehingga tingkat keamanan

102 terhadap akses yang tidak terotorisasi lebih rendah; perusahaan tidak melakukan sistem enkripsi terhadap password user sehingga password lebih mudah dipecahkan oleh hacker; setiap akses yang dilakukan terhadap sistem tidak direkam sehingga sulit melakukan audit trail; serta tidak terdapat batasan maksimum untuk kesalahan password sehingga apabila terjadi kesalahan pengisian password maka secara otomatis akan keluar dari sistem yang mengakibatkan dibutuhkan waktu yang lebih lama untuk masuk ke dalam sistem dan memperlambat pekerjaan. Dari hasil temuan diatas, maka auditor menyarankan identifikasi akses terhadap sistem menggunakan username dan password; password diganti sesering mungkin sesuai kebutuhan user dan perusahaan; password dienkripsi dengan teknik substitution ciphers; menggunakan alat perekam otomatis seperti key logger untuk memudahkan proses audit trail; serta memberikan kesempatan untuk memasukkan password maksimal tiga kali.

Pengendalian Masukan Dalam pengendalian masukan masih terdapat kelemahan-kelemahan seperti dokumen yang diinput tidak menggunakan nomor urut tercetak sehingga dokumen tidak terkontrol dengan baik dan sulit mendeteksi dokumen yang hilang; penggunaan metode keyboarding dalam menginput data sehingga memungkinkan terjadinya human error; tidak membuat berita acara untuk penghancuran dokumen sehingga tidak mengetahui dokumen apa saja yang dihancurkan dan kapan proses tersebut dilakukan; tidak menggunakan alat penghancur kertas yang tersedia tetapi dengan cara membakar dokumen pada

103 saat proses penghancuran dokumen sehingga dapat menimbulkan polusi dan laporan yang tidak terbakar secara total dapat disalahgunakan oleh orang lain; serta sistem penggajian yang tidak dilengkapi dengan help facility sehingga memerlukan waktu yang lebih lama untuk mempelajari sistem. Dari hasil temuan diatas, maka auditor menyarankan setiap dokumen memiliki nomor urut tercetak; perusahaan tetap menggunakan metode keyboarding tetapi karyawan harus melakukan pengecekan ulang dan bekerja lebih teliti dalam menginput data; membuat berita acara untuk penghancuran dokumen; menggunakan alat penghancur kertas yang telah tersedia sehingga lebih efektif dan aman; serta menggunakan help facility untuk memudahkan karyawan mempelajari sistem informasi penggajian.

Pengendalian Keluaran Kelemahan-kelemahan yang terdapat pada pengendalian keluaran antara lain: laporan-laporan yang dihasilkan tidak diotorisasi terlebih dahulu oleh Manajer Personalia sehingga adanya kemungkinan laporan merupakan hasil rekayasa karyawan; tidak semua laporan mencantumkan tanggal, bulan, tahun dan waktu pencetakan sehingga tidak mengetahui secara tepat waktu laporan dihasilkan; laporan didistribusikan kepada Manajer Personalia dan Direktur hanya pada saat dibutuhkan sehingga kurangnya pengawasan dan memungkinkan terjadinya kecurangan; tidak tersedia kolom tanda tangan dan nama pembuat laporan sebagai bukti tanggungjawab atas laporan yang dihasilkan; tidak menggunakan berita acara untuk menghancurkan laporan-laporan yang tidak diperlukan lagi sehingga tidak mengetahui laporan apa saja yang telah dihancurkan dan kapan

104 proses tersebut dilakukan; serta perusahaan tidak menggunakan alat penghancur kertas yang telah tersedia melainkan menggunakan cara membakar laporanlaporan tersebut ketika melakukan proses penghancuran laporan sehingga dapat menimbulkan polusi dan laporan yang tidak terbakar secara total dapat disalahgunakan oleh orang lain. Dari hasil temuan tersebut, maka auditor menyarankan laporan-laporan yang dihasilkan harus mendapat otorisasi terlebih dahulu dari Manajer Personalia; semua laporan mencantumkan tanggal, bulan, tahun dan waktu pencetakan; setiap laporan yang dihasilkan harus didistribusikan kepada Manajer Personalia dan Direktur secara tepat waktu; setiap laporan harus disediakan kolom tanda tangan dan nama pembuat laporan; membuat berita acara untuk penghancuran laporan; serta menggunakan alat penghancur kertas yang telah tersedia sehingga proses penghancuran lebih efektif dan aman.